Hace unos meses, realizando pruebas de diferentes tipos de ataques sobre redes WiFi, dej

habilitada una red en casa con cifrado WEP, (eso s, sin el SSID del operador con la
contrasea por defecto predecible mediante las clsicas herramientas como Liberad a WiFi).
Pas el tiempo y dej la red tal y como estaba, consciente evidentemente de que alguien
podra querer invitarse algn da a la fiesta sin haber pagado la entrada, en cuyo caso ya
mandara yo a los de seguridad.
Pues bien, hace unos das, echando un vistazo a los Logs del servicio DHCP de mi router, cul
fue mi sorpresa al ver que adems de la informacin de mis equipos, haba una fila ms con
el nombre de host Rober1. En efecto, algn vecino estaba intentando utilizar mi red, y
considerando que como poco haba tenido que utilizar alguna herramienta para obtener la
contrasea, podra tratarse de un vecino con conocimientos sobre hacking, aunque lo de
poner su nombre en el hostname indicaba lo contrario (siempre y cuando no se tratara de un
cebo). Por lo pronto, no conoca a ningn vecino llamado Rober o Roberto.
El primer impulso de cualquiera ante una situacin as, podra ser el de cambiar el cifrado de
la red a WPA2 con una clave robusta, y cortarle el grifo al vecino, pero los que nos
dedicamos a esto de la seguridad, lo vemos como una excelente oportunidad para realizar
una prctica con fuego real de hacking en redes de datos, al fin de todo, la red es ma y l es
el intruso.
Como no dispona de mucho tiempo, pues esto me cogi justo antes de salir de casa a un
compromiso ineludible, adems de desconectar todos mis equipos de la red, y dejarle as
todo el ancho de banda a Rober1 para que se sintiese como en casa, mi primer paso fue
poner rpidamente uno de mis equipos con Backtrack5, una antena WiFi y la suite Aircrack,
a escuchar el trfico de mi propia red en modo monitor. El objetivo era intentar obtener
algn dato que me pudiese dar informacin acerca del vecino para conocer sus intenciones,
pues podra pretender simplemente utilizarme como ISP y ahorrarse la cuota mensual con
esto de la crisis y los recortes, o auditar mis equipos, en cuyo caso deba prepararme para
la batalla.
Al llegar a casa, y descifrar el trfico capturado con airdecrypt, me dispuse a analizarlo
utilizando en primer lugar la versin gratuita de la herramienta Network Miner, que corre en
sistema operativo Windows y es muy til a la hora de obtener una visin a alto nivel de una
captura de trfico. Una vez cargada la captura, Network Miner identifica todos los hosts
presentes en ella, y reconstruye a partir del trfico tramas, archivos, imgenes, mensajes de

chat, credenciales y sesiones si se han capturado, peticiones DNS, parmetros GET.. Adems
proporciona informacin interesante sobre los equipos presentes en la captura, que por otra
parte podra obtenerse con cualquier otro analizador de trfico tipo Wireshark, pero facilita
bastante la tarea.

La primera lectura que poda realizar es que se trataba de un equipo con sistema operativo
Windows, de nombre Rober1, que estaba utilizando mi red para navegar por Internet.
Analizando las tramas y las conexiones establecidas, los sitios webs ms visitados durante la
sesin de navegacin, que dur cerca de 20 minutos, eran los siguientes:
http://www.vanitatis.com
http://www.elpais.com/gente
http://devilwearszara.com
http://www.fotoplatino.com
En la siguiente imagen se pueden observar algunas de las imgenes descargadas durante la
sesin de navegacin:

Sin querer entrar en un debate y limitndome a relatar en este artculo cules fueron mis
suposiciones y el proceso mental seguido, mi primera impresin fue que ms que tratarse de
un hacker, se trataba de o bien una hacker o bien la amiga, novia, madre, hermana o esposa
de Rober1, pues eran todas pginas de lo que yo considero marujeo, orientadas ms a
un pblico femenino.
Realizando un anlisis ms profundo con herramientas como CookieCadger o Wireshark,
tambin di con informacin exacta del equipo que estaba utilizando para conectarse a
Internet, identificando peticiones HTTP, correspondientes a la comprobacin de

actualizaciones disponibles para un Notebook Asus F50SL:

El siguiente paso consistira en intentar conseguir ms informacin mediante un ataque man

in the middle, para intentar obtener alguna credencial en algn sitio web donde tuviera que
identificarse, pero para eso debera de estar en casa esperando justo en el momento en que
mi vecino/a fuese a utilizar mi red para navegar. Para ello, utilic Cain + Wireshark en
entorno Windows, y tambin arpsoof en entorno Linux. Coincidimos un par de veces a la
misma hora, pero result que en esas ocasiones el nico trfico que generaba mi vecino, era
el correspondiente a visualizar vdeos en Youtube de bebs. Esto aliment an ms mi
sospecha de que se tratara de una mujer.
Por supuesto, en aquellas ocasiones en que coincida conectado a la vez que mi vecino/a,
antes de intentar un ataque MITM, me propuse escanear su mquina con nmap, pero los
puertos estaban filtrados por el Firewall de Windows.
Segua sin poder identificar al vecino, pues a pesar de tener acceso al trfico que generaba,
no exista ningn rastro de sitios donde se autenticara con credenciales. Ni correo, ni
Facebook, ni nada en un principio. Los das fueron pasando, y cada vez era ms difcil
coincidir en horarios para realizar un MITM. Entre el trabajo y mi reciente estrenada
paternidad, complicado cuadrar con el vecino/a.
Por otra parte, este tipo de ataque, no siempre funcionaba del todo bien, hecho que poda
achacar tambin a la distancia del equipo a mi router, pero no pensis ni por un instante que
lo iba a dejar as, qu me estaba hackeando la WiFi!

Paralelamente a estos intentos, siempre mantena mi equipo capturando trfico WiFi en

modo monitor, y analizaba las capturas, adems de las que obtena con Cain + Wireshark. En
estas nuevas capturas, obtuve informacin interesante para el anlisis.
Mi vecino/a se conectaba dos o tres veces al da, alrededor de 15 minutos cada sesin. Las
pginas webs ms visitadas seguan siendo de marujeo, como las comentadas en los
prrafos anteriores, pero adems haban accesos a las siguientes pginas:
http://elimperiodelaley.blogspot.com
http://quieroserjuez.blogspot.com
http://vidadeunaopositora.blogspot.com
http://sufridroaenejercicio.blogspot.com
http://quenovoyaserlasecretariadeunjuez.blogspot.com

Analizando el nombre de los sitios web, as como el contenido que haba en los mismos, me
qued claro que se trataba de una mujer, que estaba estudiando para oposiciones a
judicatura. Es decir, que hablamos de una aspirante a juez robando WiFi. As va este pas!.
Por otro lado, entre todas estas sesiones de navegacin, en las que los sitios webs visitados
eran los mismos especificados hasta ahora, se colaban algunas sesiones cortas en la que los
sitios visitados eran:
http://www.sport.es (Adems lea la seccin El http://www.marca.com
http://tenerifedeportivo.com
Estas sesiones, en principio pareca que correspondan ms a Rober1, leyendo peridicos
deportivos y echando un vistazo a las novias y mujeres de los futbolistas. En una de estas
sesiones, concretamente un domingo, Rober1 consult tambin la pgina de Yelmo Cines,
pero al final parece que no se decidi a ir, porque ms tarde presuntamente su pareja se
volvi a conectar a ver vdeos de bebs, y leer un poco de prensa rosa, supongo que para
desconectar de las arduas sesiones de estudio para la oposicin.
Por la informacin de la que dispona hasta el momento, se trataba de una pareja de vecinos
que utilizaba mi red para conectarse a Internet y ahorrarse la tarifa del ISP, no de un hax0r
con muchos conocimientos. Esto ltimo me qued ms claro, cuando en una de las capturas
recogidas escuchando en modo monitor, pude ver accesos a pginas de banca electrnica,
algo que alguien con conocimientos de seguridad informtica jams hara desde una WiFi
ajena.

Afortunadamente para los vecinos, dieron con alguien que no tena malas intenciones, y en
esta ocasin, incluso de haberlas tenido, no podra haber hecho ningn destrozo, ya que al
tratarse de trfico SSL las credenciales no habran sido capturadas sin romper el cifrado.
En este punto ya tena claro el perfil de los atacantes, as como su nivel de conocimientos,
pero an no los haba identificado. Los ataques man in the middle no funcionaban siempre,
as que se me ocurrieron varias alternativas. La primera de ellas, enchufarles un troyano
haciendo DNS spooffing con alguna de las direcciones de los sitios webs ms visitados. Pero
en lugar de eso, decid implementar un esquema machine in the middle, colocando una
mquina a modo de router, para asegurar que todo el trfico que generaban pasaba por la
misma.
Para ello, habilit una mquina virtual Backtrack, a modo de puente con dos interfaces de
red. Una de ellas conectada a la red en cuestin, 192.186.1.0, y la otra en una nueva red

192.168.2.0, con la direccin IP 192.168.2.1. Adems de eso, deshabilit el servidor DCHP del
router al que se conectaban los vecinos, y arranqu un servidor DHCP en la mquina virtual,
que repartiera direcciones en la nueva red, especificando como puerta de enlace la direccin
de esta mquina en la nueva red, la 192.168.2.1. El trfico generado era redirigido de una
interfaz a otra, en aras de poder llevar el trfico hacia y desde Internet a travs del router
principal.
Por otra parte, tambin arranqu la herramienta SSLstrip, redirigiendo el trfico SSL al
puerto 10.000, para poder as interceptar sesiones de autenticacin en algn sitio web que
permitiese obtener alguna informacin para identificar a los malhechores. En este script de
shell se puede observar la configuracin final.

Con este nuevo esquema, los vecinos se conectaban a mi router va WiFi, pero era la nueva
mquina puente la que haca de router para ellos, dndoles una nueva direccin IP en el
rango 192.168.2.0 y ofrecindoles salida a Internet. Bastaba con arrancar tcpdump, dsniff, y
visualizar el log de sslstrip para poder controlar todo el trfico generado por los vecinos.

El esquema no tard en funcionar. La siguiente vez que se conectaron, todos los paquetes
pasaban por la nueva mquina puente, y tras una o dos sesiones de navegacin, el log de
SSLstrip revel su direccin de correo electrnico y su cuenta de Facebook:

En este punto haba completado mi anlisis, y con un poco de Google Hacking a partir de su
direccin de correo pude averiguar quines eran los vecinos, y confirmar que en efecto, se
trataba de una pareja de abogados, ella estudiando para presentarse a una oposicin de
juez. Podra haberles hecho alguna trastada, como publicar algo en su muro, o cosas por el
estilo, pero simplemente me limit a enviarles un correo informndoles de que estaba al
corriente de lo que haban hecho, dndoles algunos detalles que les mostraran que
efectivamente tena conocimiento de sus sesiones de navegacin, y advertirle de los peligros
que corran realizando este tipo de prcticas.
Me contestaron ofreciendo sus disculpas, comentndome que estaban avergonzados de su
comportamiento y que no tenan mucha idea de lo que estaban haciendo, ya que fue un
amigo informtico el que les consigui la conexin a Internet gratis.

Como ya todos sabemos, es impresionante toda la informacin que se puede obtener de una
persona simplemente echando un vistazo a los sitios que visita en Internet, pero si adems
resulta que no slo navega por pginas de informacin, sino que utiliza servicios de correo
electrnico, redes sociales, o banca electrnica desde una conexin robada, el destrozo
podra ser de dimensiones considerables.
Por motivos de proteccin de datos se ha sustituido el nombre real del equipo vecino por
Rober1, pero el host original sigue la misma nomenclatura. Por otro lado quiero deciros
que este artculo est hecho por si alguno de los lectores de este blog tiene una pareja de
amigos que un da le piden que le robe la WiFi a algn vecino para conectarse gratis a
Internet. Tened cuidado que, como deca Chema, la vctima del robo puede que tambin
tenga tambin un amigo informtico y les metas en un verdadero problema a tus amigos.